我建议为此使用Jsoup。
问题
您想允许不受信任的用户提供HTML以在您的网站上输出(例如,作为评论提交)。您需要清除此HTML,以避免跨站点脚本(XSS)攻击。
解
将jsoup HTML Cleaner用于由指定的配置Whitelist。
String unsafe = "<p><a href='http://example.com/' onclick='stealcookies()'>link</a></p>";String safe = Jsoup.clean(unsafe, Whitelist.basic()); // now: <p><a href="http://example.com/" rel="nofollow">link</a></p>
